11.6. Recogida de hashes de archivos con arquitectura de medición de la integridad
El primer nivel de funcionamiento de la arquitectura de medición de la integridad (IMA) es la fase measurement, que permite crear hashes de archivos y almacenarlos como atributos extendidos (xattrs) de dichos archivos. La siguiente sección describe cómo crear e inspeccionar los hashes de los archivos.
Requisitos previos
- Habilitar la arquitectura de medición de la integridad (IMA) y el módulo de verificación ampliado (EVM) como se describe en Sección 11.5, “Arquitectura de medición de la integridad y módulo de verificación ampliado”.
Compruebe que los paquetes
ima-evm-utils
,attr
, ykeyutils
ya están instalados:# yum install ima-evm-utils attr keyutils Updating Subscription Management repositories. This system is registered to Red Hat Subscription Management, but is not receiving updates. You can use subscription-manager to assign subscriptions. Last metadata expiration check: 0:58:22 ago on Fri 14 Feb 2020 09:58:23 AM CET. Package ima-evm-utils-1.1-5.el8.x86_64 is already installed. Package attr-2.4.48-3.el8.x86_64 is already installed. Package keyutils-1.5.10-7.el8.x86_64 is already installed. Dependencies resolved. Nothing to do. Complete!
Procedimiento
Cree un archivo de prueba:
# echo <Test_text> > test_file
IMA y EVM garantizan que al archivo de ejemplo
test_file
se le asignen valores hash, que se almacenan como sus atributos extendidos.Inspeccionar los atributos extendidos del archivo:
# getfattr -m . -d test_file # file: test_file security.evm=0sAnDIy4VPA0HArpPO/EqiutnNyBql security.ima=0sAQOEDeuUnWzwwKYk+n66h/vby3eD security.selinux="unconfined_u:object_r:admin_home_t:s0"
La salida del ejemplo anterior muestra los atributos extendidos relacionados con SELinux y los valores hash de IMA y EVM. EVM añade activamente un atributo extendido
security.evm
y detecta cualquier manipulación fuera de línea de las xattrs de otros archivos comosecurity.ima
que están directamente relacionadas con la integridad del contenido de los archivos. El valor del camposecurity.evm
está en código de autenticación de mensajes basado en Hash (HMAC-SHA1), que fue generado con la clave de usuarioevm-key
.
Recursos adicionales
- Para más información sobre los conceptos generales de seguridad en Red Hat Enterprise Linux 8, consulte las secciones relevantes de Security hardening.
- Para obtener información sobre la arquitectura de medición de la integridad, consulte Sección 11.2, “Arquitectura de medición de la integridad”.
- Para obtener información sobre el módulo de verificación ampliado, consulte Sección 11.3, “Módulo de verificación ampliado”.